Gipadayag sa GitHub ang duha ka insidente sa imprastraktura sa repositoryo sa pakete sa NPM. Kaniadtong Nobyembre 2, ang mga tigdukiduki sa seguridad sa ikatulo nga partido (Kajetan Grzybowski ug Maciej Piechota), ingon bahin sa programa sa Bug Bounty, nagreport sa presensya sa usa ka pagkahuyang sa repository sa NPM nga nagtugot kanimo sa pagmantala sa usa ka bag-ong bersyon sa bisan unsang pakete gamit ang imong account, nga dili awtorisado sa paghimo sa maong mga update.
Ang pagkahuyang tungod sa dili husto nga mga pagsusi sa pagtugot sa code sa mga microservice nga nagproseso sa mga hangyo sa NPM. Ang serbisyo sa pagtugot nagpahigayon mga pagsusi sa pagtugot sa pakete base sa datos nga gipasa sa hangyo, apan ang laing serbisyo nga nag-upload sa update sa repository nagtino sa package nga imantala base sa metadata nga sulud sa gi-upload nga package. Sa ingon, ang usa ka tig-atake mahimong mohangyo sa pagpatik sa usa ka update alang sa iyang package, diin siya adunay access, apan ipiho sa package mismo ang kasayuran bahin sa lain nga pakete, nga sa katapusan ma-update.
Naayo ang isyu 6 ka oras pagkahuman gitaho ang kahuyang, apan ang pagkahuyang naa sa NPM mas taas kaysa sa tabon sa telemetry log. Giangkon sa GitHub nga walaβy mga pagsubay sa mga pag-atake nga gigamit kini nga pagkahuyang sukad kaniadtong Setyembre 2020, apan walaβy garantiya nga ang problema wala pa mapahimuslan kaniadto.
Ang ikaduhang insidente nahitabo niadtong Oktubre 26. Atol sa teknikal nga trabaho sa database sa replicate.npmjs.com nga serbisyo, ang presensya sa kompidensyal nga datos sa database nga ma-access sa gawas nga mga hangyo gipadayag, nga nagpadayag sa impormasyon mahitungod sa mga ngalan sa internal nga mga pakete nga gihisgutan sa change log. Ang kasayuran bahin sa ingon nga mga ngalan mahimong magamit aron ipatuman ang mga pag-atake sa dependency sa mga internal nga proyekto (sa Pebrero, ang parehas nga pag-atake nagtugot sa code nga ipatuman sa mga server sa PayPal, Microsoft, Apple, Netflix, Uber ug 30 nga uban pang mga kompanya).
Dugang pa, tungod sa nagkadaghang kaso sa mga repository sa dagkong mga proyekto nga gi-hijack ug malisyoso nga code nga gi-promote pinaagi sa pagkompromiso sa developer accounts, ang GitHub nakahukom nga ipaila ang mandatory two-factor authentication. Ang pagbag-o ipatuman sa unang quarter sa 2022 ug magamit sa mga tigmentinar ug mga tigdumala sa mga pakete nga gilakip sa pinakapopular nga listahan. Dugang pa, gitaho ang bahin sa modernisasyon sa imprastraktura, diin ang awtomatiko nga pag-monitor ug pag-analisar sa mga bag-ong bersyon sa mga pakete ipakilala alang sa sayo nga pag-ila sa mga makadaot nga pagbag-o.
Atong hinumdoman nga, sumala sa usa ka pagtuon nga gihimo kaniadtong 2020, 9.27% ββra sa mga tag-iya sa package ang naggamit sa duha ka hinungdan nga pag-authenticate aron mapanalipdan ang pag-access, ug sa 13.37% sa mga kaso, kung nagparehistro sa mga bag-ong account, gisulayan sa mga developer nga gamiton pag-usab ang mga nakompromiso nga password nga nagpakita sa. nahibal-an nga mga pagtulo sa password. Atol sa pagrepaso sa seguridad sa password, 12% sa NPM nga mga account (13% sa mga pakete) ang na-access tungod sa paggamit sa matag-an ug walay hinungdan nga mga password sama sa "123456." Lakip sa mga problema mao ang 4 nga mga account sa gumagamit gikan sa Top 20 nga labing inila nga mga pakete, 13 nga mga account nga adunay mga pakete nga na-download labaw sa 50 milyon nga beses matag bulan, 40 nga adunay labaw sa 10 milyon nga pag-download matag bulan, ug 282 nga adunay labaw sa 1 milyon nga pag-download matag bulan. Gikonsiderar ang pagkarga sa mga module sa usa ka kadena sa mga dependency, ang pagkompromiso sa dili kasaligan nga mga account mahimong makaapekto hangtod sa 52% sa tanan nga mga module sa NPM.
Source: opennet.ru